Antary

UEFI besitzt schwere Sicherheitslücken

In den letzten Monaten gab es vermehrt Berichte über gefährliche Sicherheitslücken in UEFI (Unified Extensible Firmware Interface). Grund genug eine kleine Zusammenfassung zu erstellen.

Im Oktober 2014 wurden zwei Sicherheitslücken in Intels UEFI-Referenzimplementierung bekannt, die bereits Ende 2013 entdeckt wurden. Da sehr viele Hersteller die Referenzimplementierung von Intel als Vorlage nutzen, sind die beiden Sicherheitslücken CVE-2014-4859 und CVE-2014-4860 weit verbreitet. Durch die Schwachstellen lassen sich beispielsweise Rootkits einschleusen, die vom Betriebssystem nicht entdeckt werden können.

Die beiden Schwachstellen finden sich im Update-Mechanismus der UEFI-Firmware. Dort wird unter anderem mit der Umgebungsvariablen “CapsuleUpdateData” gearbeitet, die von Betriebssystemen ausgelesen und beschrieben werden kann. Ist die Variable beim Systemstart vorhanden, wird versucht das Update zu lokalisieren und auszuführen. Hierbei kann es zu Integer Overflows kommen, wodurch Schadcode eingeschleust werden kann. Ein solcher Angriff wird als “BIOS Extreme Privilege Escalation” bezeichnet.

Vor wenigen Tagen haben zwei Sicherheitsforscher das Rootkit “LightEaterpräsentiert, welches die schlimmsten Befürchtungen wahr werden lässt. Das Rootkit nutzt dabei bekannte Schwachstellen von UEFI aus, operiert unabhängig vom Betriebssystem und ist von dort auch nicht zu entdecken. Nachdem sich LightEater im System festgesetzt hat kann es über den System Management Mode (SMM) Befehle ausführen. Selbst Live-Distributionen die komplett  im Arbeitsspeicher laufen können von LightEater kompromittiert werden. Beispielsweise lassen sich dort Passwörter und geheime Schlüssel mitschneiden.

Aktuell wurde der Code von LightEater noch nicht veröffentlicht und befindet sich noch im Proof of Concept. Allerdings sind früher oder später ernstzunehmende Angriffe zu erwarten. Schließlich forschen auch die NSA und GCHQ an ähnlichen Angriffstechniken. Besonders schlimm ist die Tatsache, dass beim Befall des eigenen Systems kaum eine Chance auf Entdeckung bzw. aktiven Schutz besteht. Einzige Abhilfe bei einer Infizierung wäre dann das Flashen einer sicheren Firmware, was aber bei der Menge der UEFI-Sicherheitslücken fast unmöglich erscheint. Immerhin haben Dell, HP und Lenovo Updates angekündigt, welche die LightEater-Anfälligkeit beheben sollen. Ältere PCs mit BIOS und ohne UEFI sind vor LightEater nach aktuellem Stand komplett sicher.

Amazon startet Verkauf des Fire TV Stick für 19 Euro

Amazon Logo

Seit heute Morgen um 9 Uhr kann der Amazon Fire TV Stick auch in Deutschland vorbestellt werden. Der Versand erfolgt dann ab dem 15. April. Der Normalpreis des Fire TV Sticks liegt bei 39 Euro. Prime-Mitglieder zahlen die ersten zwei Tage jedoch nur einen Preis von 19 Euro. Wer noch kein Prime-Kunde ist und zusammen mit dem Stick eine Prime-Mitgliedschaft abschließt, bekommt ihn für gerade einmal 7 Euro.

Mit dem Fire TV Stick ergänzt Amazon sein eigenes Streaming-Portfolio und geht damit gleichzeitig in direkte Konkurrenz zu Googles Chromecast. Der HDMI-Stick ist mit einem Dual-Core-Prozessor, 1 GByte Arbeitsspeicher und 8 GByte Speicherplatz ausgestattet. Außerdem verfügt er über Bluetooth 3.0 (unterstützt HID, HFP, SPP) und Dualband-WLAN mit zwei Antennen nach 802.11a/b/g/n.

Der Fire TV Stick ist eine einfache Möglichkeit zum Zugriff auf Amazon Instant Video, Netflix und Co. Außerdem läuft darauf auch das Mediencenter Kodi und es stehen einige Spiele zur Verfügung. Die Bedienung erfolgt per mitgelieferter Fernbedienung oder mit einer App, die für Android und iOS verfügbar ist.

Für 19 Euro ist der Stick auf jeden Fall ein Schnäppchen. Ich habe mir heute Morgen auch schon einen vorbestellt.

Amazon Fire TV Stick vorbestellen

Amazon Fire TV Stick

Kategorien: Hardware Internet TV

Microsoft bietet auch für illegale Kopien kostenloses Upgrade auf Windows 10

Windows 10 Logo

Terry Myerson, Chef der Betriebssystemsparte bei Microsoft, hat im Rahmen der WinHEC-Konferenz in Shenzhen eine Bombe platzen lassen: Das kostenlose Upgrade auf Windows 10 soll auch für illegale Windows-Kopien zur Verfügung stehen. Damit könnten auf einen Schlag mehrere hundert Millionen Nutzer auf eine legale Version wechseln. Legal wird eine solche Version durch das Upgrade auf Windows 10 aber nicht. Microsoft werde es den entsprechenden Usern aber einfach machen, auf eine legale Version zu wechseln. Mit dem Upgrade möchte Microsoft schlichtweg so viele User wie möglich auf die aktuellste Windows-Version bringen.

In China sind besonders viele illegale Versionen von Windows im Umlauf. Aus diesem Grund war diese Aussage primär auf China bezogen. Auf Nachfrage von The Verge, CNet und Golem hat Microsoft allerdings bestätigt, dass das Angebot weltweit gültig ist. Demnach können alle Privatkunden und kleine Unternehmen ein Jahr lang kostenlos von Windows 7 oder Windows 8.1 auf Windows 10 upgraden.

Ich muss gestehen, das ist ein sehr geschickter Schachzug. Microsoft stellt damit sicher, dass direkt nach Veröffentlichung viele Kunden auf das neue Windows 10 umsteigen werden. Viel schneller könnte man Windows 10 nicht auf so vielen Maschinen wie möglich platzieren. Außerdem sollte gleichzeitig auch die Anzahl der illegalen Versionen sinken. Geld kann Microsoft danach dann immer noch mit zusätzlichen Diensten, dem Windows Store oder mit einer Art Freemium-Modell verdienen.

Laut Microsoft wird Windows 10 im Sommer erscheinen und insgesamt in 190 Ländern und in 111 Sprachen ausgeliefert werden.

Kategorien: Windows Windows 10

BitLocker schon seit 2010 geknackt

Microsoft Logo

Im Zuge des NSA-Skandals hat The Intercept einen interessanten Artikel veröffentlicht, der weitere Informationen zu den technischen Möglichkeiten der US-Geheimdienste bereithält. Als Beweis wurden neue Snowden-Dokumente veröffentlicht, die sich auf die jährlich stattfindende Geheimveranstaltung “Jamboree” beziehen. Dort diskutieren CIA- und NSA-Spione über die neuesten Sicherheitslücken und Spionagemöglichkeiten. Der Fokus des Artikels liegt dabei auf dem Aushebeln von Sicherheitsvorkehrungen für Apple-Hardware. In einem kleinen Absatz wird aber auch erwähnt, dass die BitLocker Festplattenverschlüsselung von Microsoft schon im Jahr 2010 geknackt wurde.

Demnach lassen sich BitLocker-Keys aus dem Trusted Platform Modul (TPM) auslesen und somit kann die Laufwerksverschlüsselung erfolgreich ausgehebelt werden. Neben dem direkten Angriff der TPM-Module lassen sich die Schlüssel auch durch die Analyse der Leistungsaufnahme feststellen. Zusätzlich zur herkömmlichen kabelgebundenen Stromanalyse können die Schlüssel auch durch die Messung der elektromagnetischen Signale des TPM ermittelt werden. Des Weiteren eröffnen sich durch die Kompromittierung des TPM noch weitere Möglichkeiten. Beispielsweise können Angreifer verdeckt Malware einführen, die unter Windows so gut wie nicht entdeckt werden kann. Laut The Intercept möchte sich Microsoft zu den neuen Informationen nicht äußern.

Dies lässt gleichzeitig die Frage aufkommen, ob die Hersteller mit den Geheimdiensten kooperieren. Die genaue Art und Weise ist dann eher Nebensache. Es führt zum gleichen Ergebnis, ob die Hersteller direkt mit den Geheimdiensten zusammenarbeiten und eine Hintertür einbauen oder ob sie indirekt kooperieren und eine bekannte Sicherheitslücke offen lassen. Die zweite Möglichkeit wäre allerdings noch einen Tick heftiger, da die Sicherheitslücke auch von anderen gefunden und ausgenutzt werden könnte. Sicherheitsfanatiker sollten also einen großen Bogen um beide Technologien (BitLocker und TPM) machen.

Google stellt Android 5.1 Lollipop vor

Android 5.0 Lollipop

Während Apple heute Abend die Apple Watch, das neue 12 Zoll große MacBook und iOS 8.2 präsentiert hat, kontert Google mit der Vorstellung von Android 5.1 Lollipop. Die neue Version wurde in einem kurzen Blogartikel vorgestellt und soll ab sofort auf alle Nexus-Geräte mit Android 5.0 Lollipop verteilt werden.

Nachfolgend ein kurzer Überblick der Neuerungen von Android 5.1.

Unterstützung von mehreren SIM-Karten

Mit Version 5.1 unterstützt Android endlich nativ mehrere SIM-Karten. Damit einher geht eine bessere Trennung zwischen Arbeit und Privatem, sodass beispielsweise eine geschäftliche SIM- und eine private SIM-Karte gleichzeitig verwendet werden können. Außerdem lässt sich ein Smartphone mit dem neuen Feature einfacher zu zweit nutzen.

Diebstahlschutz

Das wurde aber auch Zeit! Mit der “Device Protection” sorgt Google dafür, dass verlorene oder gestohlene Geräte mit Android 5.1 nicht mehr so einfach wie bisher zurückgesetzt werden können. Bei aktiviertem Diebstahlschutz muss man sich zur Aktivierung des Geräts mit dem zuletzt verbundenen Google Konto verbinden, auch nach dem Zurücksetzen auf den Auslieferzustand.

HD Voice Call

Mit diesem Feature soll die Qualität von Telefonanrufen zwischen Geräten mit Android 5.1 verbessert werden. Wie genau das funktionieren soll lässt Google aber vorerst noch offen.

Weitere Kleinigkeiten

Neben diesen drei größeren Neuerungen bringt Android 5.1 Lollipop noch einige kleine Detailverbesserungen mit sich. So ist es nun möglich, direkt aus den Schnelleinstellungen neuen WLAN-Netzen beizutreten und Bluetooth-Geräte zu verwalten. Ebenso hat Google die oft mit Kritik bedachten Heads-Up-Benachrichtigungen optimiert. Des Weiteren soll das Update die Stabilität und die Performance von Android verbessern.

Android 5.1 Lollipop

Android 5.1 Lollipop (Quelle: Google)

Kategorien: Android Software & Apps

Zugriff auf Netzwerklaufwerke mit aktivierter Benutzerkontensteuerung (UAC) nicht möglich

Bei aktivierter Benutzerkontensteuerung (UAC) kann es vorkommen, dass Netzwerklaufwerke in Programmen, die mit administrativen Rechten laufen, nicht angezeigt werden. Auch Microsoft beschreibt dieses Problem.

Ursache ist die Art und Weise, wie Windows mit aktivierter Benutzerkontensteuerung arbeitet. Wenn Netzlaufwerke per Anmeldeskript verbunden werden, erfolgt dies mit dem standardmäßigen Benutzer-Token, d.h. mit eingeschränkten Rechten. Programme, die mit administrativen Rechten laufen (nach Bestätigung des Benutzerkontensteuerung-Pop-Ups), arbeiten jedoch mit einem anderen Benutzer-Token. Dadurch sind Netzlaufwerke, welche mit dem eingeschränkten Benutzer-Token verbunden werden, nicht für das administrative Benutzer-Token vorhanden.

Dieses Verhalten lässt sich aber mittels eines kleinen Eingriffs in die Registry abstellen.

  1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und “regedit” eingeben, damit der Registrierungs-Editor geöffnet wird.
  2. Anschließend zu folgendem Pfad navigieren:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  3. Darunter muss ein neuer “DWORD-Wert (32-Bit)” mit dem Namen “EnableLinkedConnections” erstellt werden.
  4. Der Wert muss auf “1” gesetzt werden.
  5. Nach einem Neustart sind die Änderungen wirksam und Netzwerklaufwerke stehen auch im administrativen Kontext zur Verfügung.

Google Kalender: Geburtstage von Google+-Kontakten ausblenden

Google Logo

Der Geburtstags-Kalender von Google ist eine feine Sache. Dort werden alle Geburtstage angezeigt, die ihr bei euren Google Kontakten hinterlegt habt. Auch Jahrestage und andere Termindaten aus den Google Kontakten werden angezeigt. Anfang 2015 hat Google jedoch eine Änderung durchgeführt, sodass plötzlich auch alle Geburtstage von Personen aus “Meine Kreise” in Google+ angezeigt werden. Dieses Feature ist zwar ganz nett, für viele Nutzer aber eher störend und nervig.

Mittlerweile hat Google reagiert und das Feature optional gemacht, d.h. die Anzeige der Geburtstage von Google+-Kontakten lässt sich wieder deaktivieren. Dazu müsst ihr eure Kalender-Einstellungen öffnen und anschließend auf den Kalender “Geburtstage” klicken. Hier könnt ihr dann festlegen, dass nur die Geburtstage eurer Kontakte im Kalender angezeigt werden.

Google Kalender Geburtstage

Kategorien: Internet Tutorials

Amazon bietet Führungen für Besucher an

Amazon Logo

Vor wenigen Tagen hat Amazon in einer Pressemitteilung verlauten lassen, dass das Unternehmen in den deutschen Logistikzentren ab sofort Führungen für Besucher anbietet. Den Auftakt hat das Logistikzentrum in Graben bei Augsburg gemacht. Gleichzeitig wurde eine neue Webseite gestartet, auf der sich sowohl Gruppen als auch Einzelpersonen für Besichtigungstouren in Graben anmelden können. Aktuell werden zwei Führungen pro Monat angeboten, die jeweils am Freitag stattfinden. Für den Blick hinter die Kulissen sollte man gemäß Amazon 60 Minuten einplanen. Bisher gab es in Graben nur Führungen für Angehörige und Freunde von Amazon Mitarbeitern. Weitere Logistikzentren sollen in Zukunft folgen.

Die Fahrtzeit zum Logistikzentrum in Graben beträgt für mich nur ca. 60 Minuten, weshalb ich auf jeden Fall mal an einer Führung teilnehmen werde.

Amazon Anmeldeseite für Besichtigungstouren

(via caschy)

Kategorien: Internet Sonstiges

BURG-WÄCHTER TARA PS 7600 – Tolle Hand-/Kofferwaage

Auf der Suche nach einer nützlichen und präzisen Kofferwaage bin ich vor einigen Monaten bei der TARA PS 7600 von BURG-WÄCHTER gelandet. Da sie mit rund 16 Euro zudem auch recht günstig ist, habe ich sie kurzerhand bei Amazon bestellt.

Im Lieferumfang befinden sich neben der Waage auch eine Tasche und zwei AAA-Batterien. Wenn die Batterien irgendwann einmal leer sein sollten, kann ich sie mit meinen Sanyo eneloop Akkus ersetzen. Unter anderem war dies sogar ein wichtiger Kaufgrund, da viele andere Kofferwaagen mit Knopfzellen betrieben werden.

BURG-WÄCHTER TARA PS 7600Ein weiterer Vorteil gegenüber anderen typischen Kofferwaagen ist die gute Verarbeitung und einfache Handhabung. Das Gehäuse der Waage ist mit Gummi ummantelt, sodass das Gerät vor Stößen und Stürzen geschützt ist. Am oberen Ende der Waage befindet sich ein Haltegriff, wodurch sich die Waage für den Messvorgang auch aufhängen lässt. Dies ist bei vielen anderen Kofferwaagen nicht möglich. Der zu wiegende Gegenstand wird unten an den Haken gehängt. Neben Koffern und Reisetaschen können mit der Waage beispielsweise auch Lebensmittel oder Eimer gewogen werden. Sie kann aber auch ohne Probleme als Babywaage oder als Fischwaage beim Angeln verwendet werden.

Nachfolgend ein Überblick der technischen Daten:

  • Betriebstemperatur: 0° C bis 40° C
  • Lagerungstemperatur: -10° C bis 60° C
  • Messbereich: 200 g – 40 kg
  • Genauigkeit: Gewicht bis 10 kg: +/- 100g; Gewicht über 10 kg: +/- 1%
  • Stromversorgung: 2 Stück 1,5V AAA Micro
  • Gewicht: 180g (exkl. Batterien)
  • Größe: 120 x 59 x 30 cm (inkl. Griff)

Bei der Anwendung gibt es wenig zu beachten, da die Bedienung sehr intuitiv ist: Waage anschalten, den zu wiegenden Gegenstand einhängen und sobald das Gewicht ermittelt ist erklingt ein Piepton. Das Gewicht wird anschließend rund 12 Sekunden angezeigt, sodass genug Zeit zum Abhängen der Last und zum bequemen Ablesen des Gewichts besteht. Dafür sorgen auch die großen Zahlen auf dem Display und die Display-Beleuchtung, die immer angeschaltet ist. Hinter der TARE-Taste verbirgt sich eine Tara-Funktion für schrittweises Wiegen. Mit der UNIT-Taste kann zwischen den Einheiten, Gramm (g), Kilogramm (kg), Pfund (lb) und Unze (oz) umgeschaltet werden.

Abgerundet wird der gute Gesamteindruck durch eine hohe Messgenauigkeit, wie diese Amazon-Bewertung und ein Test im Verbrauchermagazin Haus & Garten Test Heft 5/2013 aufzeigen: “In Sachen Genauigkeit ist diese Waage nicht zu schlagen“.

Alles in allem bekommt die BURG-WÄCHTER TARA PS 7600 eine klare Kaufempfehlung von mir. Wer eine ähnliche Waage sucht sollte sie auf jeden Fall in Erwägung ziehen.

BURG-WÄCHTER TARA PS 7600 bei Amazon kaufen

BURG-WÄCHTER TARA PS 7600

Firefox 36 – alle Neuerungen im Überblick

Firefox Logo 23+

Pünktlich zum geplanten Veröffentlichungstermin hat Mozilla Firefox 36 freigegeben. Wie bei Firefox 35 halten sich die Neuerungen aber in Grenzen. Die nächste Version in Form von Firefox 37 wird nicht wie üblich in sechs, sondern bereits in fünf Wochen, am 31. März 2015 erscheinen.

Nachfolgend ein Überblick der Änderungen und Neuerungen:

  • Unterstützung für HTTP/2
  • Synchronisierung von angepinnten Kacheln unter “about:newtab
  • Firefox verzichtet auf die Verwendung von RC4-Chiffren in TLS-Verbindungen
  • Verschlüsselte Verbindungen zu Webseiten mit 1.024 Bit RSA-Schlüssel im Wurzelzertifikat werden nicht mehr akzeptiert
  • Unterstützung neuer CSS3-Eigenschaften
  • Unterstützung von neuen ECMAScript 6 (ES6) Funktionen

Download Firefox 36
Portable Firefox 36 @ Horst Scheuer